DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 05/04/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” April 05, 2026

🚨 Alerta de Ciberseguridad β€” 05 de abril de 2026
Fuentes: AWS Security, BleepingComputer, Group-IB, MSRC Microsoft, The Hacker News

Esta semana, los ciberdelincuentes estΓ‘n enfocΓ‘ndose en la seguridad de la nube, con ataques cada vez mΓ‘s sofisticados que buscan explotar vulnerabilidades en AWS y otros servicios de la nube. AdemΓ‘s, se han reportado casos de ransomware y malware que afectan a usuarios y empresas en todo el mundo. En este resumen diario, exploraremos las ΓΊltimas amenazas y vulnerabilidades que afectan a la comunidad de ciberseguridad.

Vulnerabilidad β€” CVE-2026-35414

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en un producto o servicio de Microsoft.
  • El CVE ID asignado es CVE-2026-35414.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en la noticia.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre vulnerabilidades puede ser un indicio de que se estΓ‘ a punto de revelar mΓ‘s detalles sobre el problema. Esto puede llevar a que los atacantes se preparen para explotar la vulnerabilidad, lo que podrΓ­a resultar en ataques significativos. Es importante que las organizaciones y usuarios afectados tomen medidas de precauciΓ³n para protegerse.

βš™οΈ CΓ³mo funciona

La vulnerabilidad en cuestiΓ³n se refiere a una inyecciΓ³n de cΓ³digo en un producto o servicio de Microsoft. Esto podrΓ­a permitir a un atacante ejecutar cΓ³digo malicioso en sistemas afectados, lo que podrΓ­a llevar a una variedad de problemas, incluyendo la exfiltraciΓ³n de datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOC: La publicaciΓ³n de informaciΓ³n sobre la vulnerabilidad.
  • Parches disponibles: Microsoft puede publicar parches o actualizaciones para abordar la vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones y usuarios afectados deben revisar las recomendaciones de Microsoft para protegerse contra la vulnerabilidad, que pueden incluir actualizar software, configurar firewalls de manera adecuada y monitorear el trΓ‘fico de red.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-34978 OpenPrinting CUPS

πŸ” QuΓ© estΓ‘ pasando

  • La vulnerabilidad CVE-2026-34978 afecta a OpenPrinting CUPS, una tecnologΓ­a de impresiΓ³n de cΓ³digo abierto.
  • Se trata de una vulnerabilidad de inyecciΓ³n de cadena (path traversal) en la URL de notificaciΓ³n de RSS (notify-recipient-uri).
  • Esto permite a un atacante escribir archivos fuera del directorio CacheDir/rss, incluyendo la clobbering de archivo job.cache.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34978 puede permitir a un atacante escribir archivos arbitrarios en el sistema, lo que puede llevar a una escalada de privilegios. Esto puede tener graves consecuencias para las organizaciones que utilizan CUPS, ya que un atacante podrΓ­a acceder a informaciΓ³n confidencial o realizar cambios no autorizados en el sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que la URL de notificaciΓ³n de RSS (notify-recipient-uri) no realiza una validaciΓ³n adecuada de la entrada del usuario. Esto permite a un atacante inyectar una cadena de caracteres maliciosa que pueda ser utilizada para acceder a archivos fuera del directorio permitido. La vulnerabilidad tambiΓ©n puede ser utilizada para clobberear el archivo job.cache, lo que puede llevar a una disfunciΓ³n en la impresiΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se ha lanzado un parche para la vulnerabilidad CVE-2026-34978.
  • Revisar los registros de sistema para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.
  • Considerar implementar medidas de mitigaciΓ³n, como la restricciΓ³n del acceso a la URL de notificaciΓ³n de RSS o la habilitaciΓ³n de la validaciΓ³n de entrada en la aplicaciΓ³n CUPS.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-27447 OpenPrinting CUPS: Authorization bypass via case-insensitive group-member lookup

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en OpenPrinting CUPS (Common Unix Printing System) que permite un bypass de autorizaciΓ³n a travΓ©s de una bΓΊsqueda de miembros de grupo insensible a mayΓΊsculas y minΓΊsculas.
  • La vulnerabilidad tiene un ID CVE de 2026-27447.
  • La informaciΓ³n se ha publicado oficialmente.

⚠️ Por qué importa

La vulnerabilidad en OpenPrinting CUPS puede permitir a un atacante obtener acceso no autorizado a recursos y servicios, lo que puede tener graves consecuencias para la seguridad de la organizaciΓ³n. Los atacantes pueden aprovechar esta vulnerabilidad para realizar acciones con privilegios elevados, lo que puede llevar a la exfiltraciΓ³n de datos confidenciales, la modificaciΓ³n de configuraciones crΓ­ticas o incluso la toma del control completo del sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que el sistema de autorizaciΓ³n de CUPS realiza una bΓΊsqueda de miembros de grupo de forma insensible a mayΓΊsculas y minΓΊsculas. Esto significa que si un usuario tiene un nombre de usuario con mayΓΊsculas y minΓΊsculas diferentes (por ejemplo, "JohnDoe" y "johndoe"), el sistema puede confundirse y permitir el acceso no autorizado a recursos y servicios. Los atacantes pueden aprovechar esta vulnerabilidad creando un usuario con un nombre de usuario que coincida con el de un usuario existente, pero con mayΓΊsculas y minΓΊsculas diferentes.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: Los desarrolladores de OpenPrinting CUPS han publicado parches para las vulnerabilidades identificadas. Es importante aplicar estos parches lo antes posible para evitar ser vulnerables a ataques.
  • Recomendaciones concretas: Las organizaciones deben revisar sus configuraciones de seguridad y asegurarse de que los usuarios no tengan permisos excesivos. AdemΓ‘s, se recomienda realizar una revisiΓ³n exhaustiva de los sistemas y aplicaciones para detectar cualquier actividad sospechosa.
  • IOCs: No hay IOCs especΓ­ficos disponibles para esta vulnerabilidad. Sin embargo, se recomienda estar atento a cualquier actividad sospechosa que pueda estar relacionada con esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-23473 io_uring/poll: fix multishot recv missing EOF on wakeup race

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el mΓ³dulo io_uring/poll de Linux.
  • La vulnerabilidad se conoce como CVE-2026-23473.
  • La informaciΓ³n publicada indica que se ha corregido un problema con multishot recv que faltaba EOF en una carrera de despertar.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante explotar una carrera de despertar en el mΓ³dulo io_uring/poll, lo que podrΓ­a provocar una pΓ©rdida de datos o una inestabilidad del sistema. Aunque la gravedad de esta vulnerabilidad no estΓ‘ clara, es importante que las organizaciones y los usuarios actualicen sus sistemas para evitar posibles ataques.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el mΓ³dulo io_uring/poll no detecta correctamente el fin de archivo (EOF) en una carrera de despertar. Esto puede provocar que el sistema no sepa cΓ³mo tratar la informaciΓ³n de entrada, lo que podrΓ­a llevar a una pΓ©rdida de datos o una inestabilidad del sistema. La vulnerabilidad se ha corregido mediante la correcciΓ³n de un problema en el cΓ³digo del mΓ³dulo io_uring/poll.

πŸ‘οΈ QuΓ© vigilar

  • Actualice su sistema operativo Linux a una versiΓ³n que incluya la correcciΓ³n para esta vulnerabilidad.
  • Verifique que el mΓ³dulo io_uring/poll estΓ© actualizado y sin problemas.
  • Mueva cualquier sistema que no pueda ser actualizado a una zona de seguridad confiable.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-31394 mac80211: arreglo de crash en ieee80211_chan_bw_change para estaciones AP_VLAN

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en el mΓ³dulo mac80211 del kernel Linux.
  • La vulnerabilidad se debe a un error en la funciΓ³n ieee80211_chan_bw_change.
  • La vulnerabilidad afecta a estaciones AP_VLAN.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-31394 puede causar un crash en el kernel Linux, lo que puede provocar una interrupciΓ³n de servicio para las organizaciones que utilizan estaciones AP_VLAN. Esto puede tener un impacto significativo en la disponibilidad y la confiabilidad de los servicios de red.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un error en la funciΓ³n ieee80211_chan_bw_change, que se utiliza para cambiar la anchura de banda de la canalizaciΓ³n en estaciones AP_VLAN. Cuando la funciΓ³n se llama con una entrada de datos invΓ‘lida, puede causar un crash en el kernel Linux.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-31394: la vulnerabilidad estΓ‘ identificada con el ID CVE-2026-31394.
  • Parche disponible: se recomienda aplicar el parche proporcionado por el equipo de seguridad de Microsoft.
  • Revisar configuraciones de red: se recomienda revisar las configuraciones de red y asegurarse de que las estaciones AP_VLAN estΓ©n actualizadas con el parche de seguridad.

πŸ”— Fuente consultada: MSRC Microsoft

CloudSecurity β€” Introduciendo el Acelerador de Zona de Aterrizaje en la ConfiguraciΓ³n Universal y Libro de Trabajo de Cumplimiento de LZA

πŸ” QuΓ© estΓ‘ pasando

  • Se ha lanzado un nuevo conjunto de directrices de seguridad para AWS Landing Zone Accelerator.
  • La configuraciΓ³n universal se basa en aΓ±os de experiencia con clientes regulados, incluidos gobiernos de todo el mundo.
  • El libro de trabajo de cumplimiento de LZA se ha actualizado para reflejar las mejores prΓ‘cticas de seguridad.

⚠️ Por qué importa

La seguridad en la nube sigue siendo una preocupaciΓ³n importante para las organizaciones. La configuraciΓ³n universal de LZA puede ayudar a proteger a las empresas de posibles vulnerabilidades y minimizar el riesgo de ataques cibernΓ©ticos. AdemΓ‘s, el libro de trabajo de cumplimiento de LZA proporciona una guΓ­a clara para garantizar la conformidad con las normas de seguridad mΓ‘s estrictas.

βš™οΈ CΓ³mo funciona

La configuraciΓ³n universal de LZA se enfoca en proporcionar una base de seguridad sΓ³lida para las organizaciones que utilizan AWS. Se basa en aΓ±os de experiencia con clientes regulados y se ha desarrollado en colaboraciΓ³n con expertos de AWS y sus socios. El libro de trabajo de cumplimiento de LZA se actualiza periΓ³dicamente para reflejar las mejores prΓ‘cticas de seguridad y mantener a las organizaciones al dΓ­a con las normas mΓ‘s estrictas.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrate de actualizar tu configuraciΓ³n de LZA para reflejar las directrices de seguridad mΓ‘s recientes.
  • Revisa el libro de trabajo de cumplimiento de LZA para garantizar la conformidad con las normas de seguridad mΓ‘s estrictas.
  • MantΓ©n tus sistemas y aplicaciones actualizados con los parches mΓ‘s recientes para minimizar el riesgo de ataques cibernΓ©ticos.

πŸ”— Fuente consultada: AWS Security

Cibercrimen β€” Hooking el ArchipiΓ©lago: Desglose de una CampaΓ±a de Phishing que Objetiva Usuarios Bancarios de Filipinas

πŸ” QuΓ© estΓ‘ pasando

  • Se descubre una campaΓ±a de phishing en curso que objetiva a las principales instituciones bancarias de Filipinas.
  • Los atacantes abusan de plataformas legΓ­timas y confiables para engaΓ±ar a los usuarios y evadir la detecciΓ³n.
  • Se logra el secuestro exitoso de un dominio legΓ­timo para alojar infraestructura maliciosa.

⚠️ Por qué importa

La campaΓ±a de phishing es una amenaza significativa para las instituciones bancarias y usuarios de Filipinas, puesto que los atacantes pueden obtener acceso a informaciΓ³n confidencial y comprometer la seguridad de los datos. AdemΓ‘s, la capacidad de los atacantes para abusar de plataformas legΓ­timas y evadir la detecciΓ³n aumenta la complejidad para las organizaciones en la tarea de identificar y mitigar la amenaza.

βš™οΈ CΓ³mo funciona

Los atacantes identifican y abusan de plataformas legΓ­timas, como dominios de instituciones bancarias, para alojar infraestructura maliciosa. Esto les permite operar con mayor dificultad para ser detectados, ya que las herramientas de seguridad pueden considerar la plataforma como legΓ­tima. Una vez que los usuarios interactΓΊan con la plataforma maliciosa, los atacantes pueden obtener acceso a informaciΓ³n confidencial, como credenciales de acceso a cuentas bancarias.

πŸ‘οΈ QuΓ© vigilar

  • Parche: Actualizar los navegadores y aplicaciones de correo electrΓ³nico para asegurarse de que estΓ©n actualizados con las ΓΊltimas versiones de seguridad.
  • IOCs: Monitorear trΓ‘fico de red para detectar intentos de acceso a plataformas legΓ­timas maliciosas.
  • RecomendaciΓ³n: Asegurarse de que las instituciones bancarias y usuarios de Filipinas tomen medidas de seguridad adicionales para proteger sus cuentas y datos, como habilitar la autenticaciΓ³n en dos factores y monitorear de cerca su actividad en lΓ­nea.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Phantom Stealer: Credential Theft as a Service

πŸ” QuΓ© estΓ‘ pasando

  • Phantom Stealer es un servicio de robo de credenciales que permite a los ciberdelincuentes realizar ataques de phishing.
  • Los ciberdelincuentes utilizan este servicio para robar credenciales de usuarios y acceder a sistemas y aplicaciones protegidas.
  • Group-IB ha identificado varias campaΓ±as de phishing relacionadas con este servicio.

⚠️ Por qué importa

La existencia de Phantom Stealer representa un riesgo significativo para las organizaciones y usuarios, ya que permite a los ciberdelincuentes acceder a sistemas y aplicaciones protegidas. Los ataques de phishing son difΓ­ciles de detectar y pueden causar daΓ±os significativos, incluyendo la pΓ©rdida de datos confidenciales y la exposiciΓ³n de la informaciΓ³n de los usuarios.

βš™οΈ CΓ³mo funciona

Phantom Stealer funciona como un servicio de phishing que permite a los ciberdelincuentes crear y enviar emails de phishing personalizados. Estos emails contienen enlaces o archivos adjuntos que, cuando se abren, descargan el malware Phantom Stealer en el dispositivo del usuario. Una vez instalado, el malware puede robar credenciales de usuarios y enviarlas a los ciberdelincuentes.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Los ciberdelincuentes pueden estar utilizando dominios y direcciones IP comprometidas para enviar emails de phishing. Es importante vigilar estos IOCs para detectar posibles ataques.
  • Parches disponibles: Aunque no se han identificado parches especΓ­ficos para este ataque, es importante mantener actualizados los sistemas y aplicaciones para evitar la explotaciΓ³n de vulnerabilidades conocidas.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad avanzadas, como la protecciΓ³n contra phishing y la autenticaciΓ³n multifactor, para reducir el riesgo de ataques de este tipo. Los usuarios deben ser conscientes de los posibles riesgos de los emails de phishing y no abrir enlaces o archivos adjuntos de fuentes desconocidas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen - Compartir inteligencia sobre fraude en instituciones financieras

πŸ” QuΓ© estΓ‘ pasando

  • Reguladores globales estΓ‘n imponiendo la obligaciΓ³n de compartir inteligencia sobre fraude.
  • Las instituciones financieras deben colaborar en tiempo real para compartir informaciΓ³n sobre fraude.
  • Se estΓ‘ utilizando la tokenizaciΓ³n distribuida para mantener la privacidad.

⚠️ Por qué importa

La falta de colaboraciΓ³n entre instituciones financieras puede permitir que los cibercriminales continΓΊen sus actividades ilegales sin ser detectados. Al compartir inteligencia sobre fraude en tiempo real, las instituciones pueden identificar patrones y preventir futuros ataques. AdemΓ‘s, la no conformidad con las normas regulatorias puede generar multas y daΓ±o a la reputaciΓ³n de la instituciΓ³n.

βš™οΈ CΓ³mo funciona

La tokenizaciΓ³n distribuida es un enfoque que permite a las instituciones financieras compartir informaciΓ³n sobre fraude sin revelar datos confidenciales. Los datos se tokenizan y se distribuyen de manera segura, lo que permite a las instituciones colaborar en tiempo real sin comprometer la privacidad de sus clientes.

πŸ‘οΈ QuΓ© vigilar

  • Tokens de fraude: Utilizar tokens de fraude para compartir informaciΓ³n sobre atividades sospechosas.
  • Plataformas de tokenizaciΓ³n: Utilizar plataformas de tokenizaciΓ³n distribuida para mantener la privacidad y colaborar en tiempo real.
  • Cumplimiento regulatorio: Asegurarse de cumplir con las normas regulatorias para evitar multas y daΓ±o a la reputaciΓ³n.

πŸ”— Fuente consultada: Group-IB

Ciberseguridad β€” RevisiΓ³n estratΓ©gica de seguridad cibernΓ©tica: el reset esencial para equipos y lΓ­deres de seguridad en 2026

πŸ” QuΓ© estΓ‘ pasando

  • La seguridad cibernΓ©tica debe adaptarse a las amenazas complejas de hoy en dΓ­a.
  • Los equipos y lΓ­deres de seguridad deben evaluar su estrategia actual.
  • La revisiΓ³n estratΓ©gica es esencial para mejorar la resistencia a amenazas.

⚠️ Por qué importa

La falta de una estrategia de seguridad cibernΓ©tica efectiva puede tener graves consecuencias para las organizaciones, incluyendo pΓ©rdidas financieras, daΓ±os a la reputaciΓ³n y exposiciΓ³n de datos confidenciales. Los lΓ­deres de seguridad deben asegurarse de que su estrategia estΓ© alineada con las amenazas actuales y que los equipos estΓ©n capacitados para enfrentarlas de manera efectiva.

βš™οΈ CΓ³mo funciona

La revisiΓ³n estratΓ©gica de seguridad cibernΓ©tica implica evaluar la estrategia actual, identificar Γ‘reas de mejora y desarrollar un plan para implementar cambios. Esto incluye analizar las amenazas actuales, evaluar la infraestructura de seguridad, identificar brechas y desarrollar un plan de acciΓ³n para mejorar la resistencia a amenazas.

πŸ‘οΈ QuΓ© vigilar

  • Evaluar la estrategia de seguridad cibernΓ©tica actual y identificar Γ‘reas de mejora.
  • Desarrollar un plan para implementar cambios y mejorar la resistencia a amenazas.
  • Capacitar a los equipos de seguridad para que estΓ©n mejor preparados para enfrentar amenazas complejas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Esquema de Phishing GTFire: Evitando la detecciΓ³n mediante servicios de Google

πŸ” QuΓ© estΓ‘ pasando

  • El esquema de phishing GTFire utiliza servicios de Google como Firebase y Google Translate para evadir la detecciΓ³n por parte de los sistemas de seguridad.
  • Los hackers crean sitios web falsos que parecen legΓ­timos y utilizan Firebase para almacenar y gestionar la informaciΓ³n de los usuarios.
  • Google Translate se utiliza para ocultar la naturaleza maliciosa del sitio web traduciendo el contenido en diferentes idiomas.

⚠️ Por qué importa

El esquema de phishing GTFire es un problema grave para las organizaciones y los usuarios, ya que permite a los hackers realizar campaΓ±as globales de phishing sin ser detectados. Esto puede llevar a la pΓ©rdida de datos confidenciales, la extracciΓ³n de credenciales de acceso y la instalaciΓ³n de malware en los dispositivos de los usuarios. AdemΓ‘s, la utilizaciΓ³n de servicios de Google para evadir la detecciΓ³n hace que sea aΓΊn mΓ‘s difΓ­cil para los sistemas de seguridad detectar y prevenir estos ataques.

βš™οΈ CΓ³mo funciona

El esquema de phishing GTFire funciona de la siguiente manera: los hackers crean sitios web falsos que parecen legΓ­timos y los almacenan en Firebase. Luego, utilizan Google Translate para traducir el contenido del sitio web en diferentes idiomas, lo que les permite llegar a un pΓΊblico mΓ‘s amplio. Cuando un usuario visita el sitio web, se le pide que ingrese sus credenciales de acceso o que descargue un archivo malicioso. Los hackers luego utilizan Firebase para almacenar y gestionar la informaciΓ³n de los usuarios, lo que les permite realizar campaΓ±as globales de phishing.

πŸ‘οΈ QuΓ© vigilar

  • IOCs (Indicadores de actividad no deseada): Buscar trΓ‘fico de red que involucre servicios de Google Firebase y Google Translate, especialmente si se relaciona con sitios web falsos o campaΓ±as de phishing.
  • Parches disponibles: Actualizar los sistemas de seguridad y los navegadores para asegurarse de que estΓ©n protegidos contra las ΓΊltimas vulnerabilidades conocidas.
  • Recomendaciones concretas: Utilizar herramientas de detecciΓ³n de phishing y antivirus para protegerse contra estos ataques, y ser cauteloso al proporcionar credenciales de acceso o descargar archivos de sitios web desconocidos.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” 36 Malicious npm Packages Exploited Redis, PostgreSQL to Deploy Persistent Implants

πŸ” QuΓ© estΓ‘ pasando

  • Se han detectado 36 paquetes maliciosos en el registro npm que se disfrazan como plugins de CMS Strapi.
  • Los paquetes contienen payloads diferentes para explotar Redis y PostgreSQL, ejecutar conchas reversas, robar credenciales y dejar un implante persistente.
  • Cada paquete tiene tres archivos (package.json, index.js, postinstall.js) y carece de descripciΓ³n y repositorio.

⚠️ Por qué importa

La detecciΓ³n de estos paquetes maliciosos es una amenaza significativa para las organizaciones que utilizan npm como fuente de dependencias. Los ataques pueden llevar a la explotaciΓ³n de vulnerabilidades en Redis y PostgreSQL, lo que puede resultar en la exfiltraciΓ³n de datos confidenciales, la ejecuciΓ³n de cΓ³digo malicioso y la compromiso de los sistemas. AdemΓ‘s, la capacidad de dejar un implante persistente puede permitir a los atacantes mantener una presencia en la red durante perΓ­odos prolongados.

βš™οΈ CΓ³mo funciona

Los paquetes maliciosos se disfrazan como plugins de Strapi CMS y contienen payloads diferentes para alcanzar objetivos especΓ­ficos. Los archivos index.js y postinstall.js se utilizan para ejecutar cΓ³digo malicioso despuΓ©s de la instalaciΓ³n del paquete, mientras que el archivo package.json se utiliza para ocultar la verdadera naturaleza del paquete. Los ataques pueden incluir la explotaciΓ³n de vulnerabilidades en Redis y PostgreSQL, la ejecuciΓ³n de conchas reversas y la exfiltraciΓ³n de credenciales.

πŸ‘οΈ QuΓ© vigilar

  • Buscar y eliminar los paquetes maliciosos de los proyectos que se ejecutan en npm.
  • Verificar la integridad de los paquetes de dependencias utilizando herramientas como npm audit.
  • Actualizar a la versiΓ³n mΓ‘s reciente de npm y las dependencias para asegurarse de que se hayan aplicado parches de seguridad relevantes.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Fortinet Patches Actively Exploited CVE-2026-35616 en FortiClient EMS

πŸ” QuΓ© estΓ‘ pasando

  • Fortinet ha lanzado parches fuera de banda para un fallo de seguridad crΓ­tico que afecta a FortiClient EMS.
  • La vulnerabilidad, identificada como CVE-2026-35616 (CVSS score: 9.1), es un bypass de acceso API pre-autenticado que conduce a un escalada de privilegios.
  • La vulnerabilidad estΓ‘ siendo explotada en el wild.

⚠️ Por qué importa

La vulnerabilidad en FortiClient EMS puede permitir a un atacante acceder a la API del sistema sin autenticarse, lo que lleva a una escalada de privilegios. Esto podrΓ­a permitir a los atacantes realizar acciones maliciosas con permisos elevados, incluyendo la capacidad de acceder a datos confidenciales o realizar cambios en la configuraciΓ³n del sistema. Las organizaciones que utilizan FortiClient EMS deben aplicar los parches de inmediato para mitigar el riesgo de explotaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un fallo de acceso de control inadecuado (CWE-284) en FortiClient EMS. Un atacante puede aprovechar este fallo para acceder a la API del sistema sin autenticarse, lo que le permite realizar acciones maliciosas con permisos elevados. El ataque se produce en varias etapas:

  1. El atacante envΓ­a una solicitud a la API del sistema sin autenticarse.
  2. La API del sistema no verifica la autenticaciΓ³n del atacante, permitiΓ©ndole acceder a informaciΓ³n confidencial.
  3. El atacante utiliza la informaciΓ³n confidencial para realizar acciones maliciosas con permisos elevados.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Fortinet ha lanzado parches fuera de banda para mitigar la vulnerabilidad.
  • IOCs: No hay IOCs especΓ­ficos disponibles en este momento.
  • Recomendaciones: Las organizaciones que utilizan FortiClient EMS deben aplicar los parches de inmediato y verificar la autenticaciΓ³n de todos los accesos a la API del sistema.

πŸ”— Fuente consultada: The Hacker News

ThreatIntel β€” Axios npm hack usado un falso parche de error de Teams para robar la cuenta de mantenimiento

πŸ” QuΓ© estΓ‘ pasando

  • Un desarrollador de Axios fue objetivo de una campaΓ±a de ingenierΓ­a social, creΓ­da que fue llevada a cabo por amenazas de Corea del Norte.
  • Los atacantes usaron un falso parche de error de Microsoft Teams para acceder a la cuenta de mantenimiento de Axios en npm.
  • No se menciona un CVE especΓ­fico.

⚠️ Por qué importa

Este ataque ilustra la importancia de la seguridad en la cadena de suministro de software. Los desarrolladores de paquetes npm, como Axios, son vulnerables a ataques de ingenierΓ­a social si no tienen medidas de seguridad adecuadas en lugar. AdemΓ‘s, este ataque puede haber sido parte de una campaΓ±a mΓ‘s amplia de ciberespionaje, lo que sugiere que las organizaciones deben estar atentas a posibles amenazas de seguridad que puedan estar relacionadas con la regiΓ³n de Corea del Norte.

βš™οΈ CΓ³mo funciona

Los atacantes crearon un falso parche de error de Microsoft Teams que parecΓ­a ser una soluciΓ³n legΓ­tima para un problema conocido. Sin embargo, en realidad era un ataque de ingenierΓ­a social diseΓ±ado para engaΓ±ar al desarrollador de Axios y hacer que accediera a su cuenta de mantenimiento en npm. Una vez que el desarrollador accediΓ³ a la cuenta, los atacantes pudieron tomar el control y realizar cambios en el paquete.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la autenticidad de los parches de errores antes de aplicarlos, especialmente si parecen ser soluciones para problemas conocidos.
  • Asegurarse de que las cuentas de mantenimiento en npm tengan medidas de seguridad adecuadas, como autenticaciΓ³n de dos factores.
  • Mantenerse atento a posibles amenazas de seguridad relacionadas con la regiΓ³n de Corea del Norte y tener un plan en lugar para responder a posibles ataques.

πŸ”— Fuente consultada: BleepingComputer

Cibercrimen β€” Aumentan ataques de phishing con cΓ³digo de dispositivo 37x gracias a nuevos kits en lΓ­nea

πŸ” QuΓ© estΓ‘ pasando

  • Aumentan ataques de phishing que abusan del flujo de autorizaciΓ³n de dispositivo OAuth 2.0 para robar cuentas.
  • Estos ataques han aumentado mΓ‘s de 37 veces en este aΓ±o.
  • Los atacantes estΓ‘n utilizando nuevos kits para llevar a cabo estos ataques.

⚠️ Por qué importa

Estos ataques de phishing pueden tener un impacto devastador en las organizaciones y usuarios, ya que permiten a los atacantes acceder a cuentas y datos confidenciales. AdemΓ‘s, la escalada de estos ataques sugiere que los cibercriminales estΓ‘n aprovechando la falta de conciencia sobre la vulnerabilidad del flujo de autorizaciΓ³n de dispositivo OAuth 2.0.

βš™οΈ CΓ³mo funciona

Los ataques de phishing con cΓ³digo de dispositivo utilizan el flujo de autorizaciΓ³n de dispositivo OAuth 2.0 para solicitar acceso a cuentas. El atacante envΓ­a un mensaje de phishing que incluye un enlace o un cΓ³digo QR que, cuando se utiliza, solicita al usuario que autorice el acceso del atacante a su cuenta. Si el usuario autoriza el acceso, el atacante puede acceder a la cuenta y realizar acciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar enlaces y cΓ³digos QR sospechosos en correos electrΓ³nicos y aplicaciones.
  • Parches: Asegurarse de que se estΓ©n utilizando versiones actualizadas de aplicaciones y bibliotecas que abusan del flujo de autorizaciΓ³n de dispositivo OAuth 2.0.
  • Recomendaciones: Educar a los usuarios sobre la importancia de verificar la autenticidad de los enlaces y cΓ³digos QR, y evitar autorizar el acceso a cuentas a desconocidos.

πŸ”— Fuente consultada: BleepingComputer

Top comments (0)